Meinung zur EU-Datenschutz-Grundverordnung

Ein typischer, mittelprächtiger EU-Kompromiss

27.01.2016
Von 
Malte Pollmann ist seit 2008 Mitglied des Management Boards von Utimaco und war von 2011 bis einschließlich 2018 CEO der Utimaco-Gruppe. Anfang Janar 2019 wechselte er die Position zum CSO (Chief Strategy Officer). Zuvor war er Product Director und Geschäftsbereichsleiter bei Lycos Europe NV. Pollmann studierte Physik an den Universitäten Paderborn und Kaiserslautern und absolvierte eine Ausbildung in General Management bei INSEAD in Fontainebleau. Er ist Aufsichtsratsmitglied der International School of IT-Security (isits AG) in Bochum.
Die neue die EU-Datenschutz-Grundverordnung soll im Jahr 2018 in Kraft treten. Und die Interessen seitens Wirtschaft, Verbraucher und Politik sind teilweise sehr kontrovers. Für Deutschland dürfte die Verordnung eher einen Rückschritt in Sachen Datensicherheit bedeuten.

Die Initiative an sich ist eine gute Sache. Eine EU-weite Harmonisierung macht den Datenschutz für Endanwender transparenter. Und natürlich brauchen wir einheitliche Standards, um kritische Infrastrukturen wirksam gegen die zunehmenden Cyber-Attacken zu schützen. Doch schon hier zeigt sich die erste Schwachstelle, denn die verabschiedeten Vorgaben reichen nicht weit genug.

Im Jahr 2018 soll die EU-Datenschutz-Grundverordnung in Kraft treten.
Im Jahr 2018 soll die EU-Datenschutz-Grundverordnung in Kraft treten.
Foto: symbiot - shutterstock.com

Der Großteil der Unternehmen agiert heute multinational. Daher brauchen wir mehr Europa und stärkere Organisationen, die sich auf internationaler Ebene mit der Frage der Cyber-Sicherheit für kritische Infrastrukturen auseinandersetzen. Ähnlich wie die Staaten heute Ausrüstung und Truppen für die Nato bereitstellen, sollten dafür nationale Datenschutzbehörden wie das deutsche BSI oder das französische Pendant ANSSI den EU-weiten Organisationen wie ENISA, die europäische Agentur für Netz- und Informationssicherheit, mehr Spezialisten, Know-how und regulatorische Verantwortlichkeiten zur Verfügung stellen.

Neues Gesetz, veraltete Inhalte

Ein weiteres Manko: Aufgrund des langen Verhandlungsmarathons über mehrere Jahre berücksichtigt die Verordnung kaum aktuelle Herausforderungen. Das betrifft beispielsweise Sicherheitsfragen, die neue technologische Entwicklungen und Strategien wie etwa Cloud Computing oder das Internet of Things (IoT) mit sich bringen. Dass es nun weitere zwei Jahre dauern wird, bis das Gesetz tatsächlich in Kraft tritt, dürfte zudem zu unerwünschten nationalen Einzellösungen führen. Doch genau diese Kleinstaaterei schwächt die IT-Sicherheit innerhalb Europas.

Für uns in Deutschland dürfte mit der EU-weiten Regelung das vorhandene Sicherheitsniveau unter anderem deshalb sinken, weil die absolut sinnvolle Praxis des betrieblichen Datenschutzbeauftragten gefährdet ist. Wird dessen Position abgeschafft, müssen ohnehin überlastete Aufsichtsbehörden seine Aufgaben wahrnehmen. Dies würde neben klaren Abstrichen bei der IT-Sicherheit auch zu erhöhter Bürokratie führen.

Es gibt viel zu tun

Eine EU-weite Regelung zum Datenschutz ist ein wichtiger erster Schritt. Jetzt gilt es jedoch, schnell Taten auf weitere offene Fragen folgen zu lassen. Das gilt etwa für die neue Europäische Signaturrichtlinie, die alle EU-Mitglieder bis Mitte diesen Jahres in nationales Recht umsetzen müssen.

Spannend wird auch, wie das Recht auf Vergessen werden und auf Löschung und das Recht auf Datenübertragung zukünftig in die Praxis umgesetzt wird. Das betrifft vor allem den sicheren Nachweis und das Auditieren über das Löschen und Transferieren von Daten.

Nicht zuletzt brauchen wir schnellstmöglich ein neues Datenschutzabkommen zwischen Europa und den USA. Denn das vom Europäischen Gerichtshof gekippte Safe Harbor-Abkommen sowie der Mangel an Alternativen dürfte kurzfristig die Unternehmen deutlich stärker beeinflussen als die EU-Datenschutz-Grundverordnung. Grund dafür sind vor allem die schon angekündigten drakonischen Strafen der Aufsichtsbehörden. Hier bleibt den Verantwortlichen nur eine Option: die erforderliche Souveränität über ihre Daten und die rechtliche Compliance durch starke Verschlüsselung, gut durchdachtes Territorialprinzip und klare AGBs in einen sicheren Hafen zu lenken. (bw)